HTTPS加密过程详解

HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer 超文本传输安全协议）

HTTPS在传统的HTTP和TCP之间加了一层用于加密解密的SSL/TLS层（安全套接层Secure Sockets Layer/安全传输层Transport Layer Security）层。使用HTTPS必须要有一套自己的数字证书（包含公钥和私钥）。

HTTPS解决的问题

• 信息加密传输：第三方无法窃听；
• 校验机制：一旦被篡改，通信双方会立刻发现；
• 身份证书：防止身份被冒充。

HTTPS加密过程：

1. 客户端请求服务器获取证书公钥
2. 客户端(SSL/TLS)解析证书（无效会弹出警告）
3. 生成随机值
4. 用公钥加密随机值生成密钥
5. 客户端将秘钥发送给服务器
6. 服务端用私钥解密秘钥得到随机值
7. 将信息和随机值混合在一起进行对称加密
8. 将加密的内容发送给客户端
9. 客户端用秘钥解密信息

https.png

加密过程使用了对称加密和非对称加密。

• 对称加密: 客户端和服务端采用相同的密钥经行加密

      encrypt(明文，秘钥) = 密文
      decrypt(密文，秘钥) = 明文
  

• 非对称加密：客户端通过公钥加密。服务端通过私钥解密

      encrypt(明文，公钥) = 密文
  
      decrypt(密文，私钥) = 明文
  

因为TLS握手的过程中采用了非对称加密，客户端本身不知道服务器的秘钥，这样通信就不会被中间人劫持。此外这一步服务端还提供了证书，并且可能要求客户端提供证书。关于证书下文会提到，只要有了证书，就能保证和你通信的对方是真实的，而不是别人伪造的。

那然后验证证书呢？

1. 客户端获取到了站点证书，拿到了站点的公钥
2. 客户端找到其站点证书颁发者的信息
3. 站点证书的颁发者验证服务端站点是否可信
4. 往上回溯，找到根证书颁发者
5. 通过根证书颁发者一步步验证站点证书颁布者是否可信

附：

• HTTPS默认使用443端口，而HTTP默认使用80端口。
• TLS就是从SSL发展而来的，只是SSL发展到3.0版本后改成了TLS
• 第一次请求中TLS握手的代价很大
• 后续的请求会共用第一次请求的协商结果

我的GitHub地址

参考：

• 刘某某_adf3
• jimsshom